前言
APT防御的重要性毋庸讳言,为了帮助各位师傅在防御方面建立一个总体认识,本文会将APT防御方法分为三类,分别是:监控、检测和缓解技术,并分别进行梳理,介绍分析代表性技术。这一篇分析现有的监控技术。
APT
这里不谈APT概念,就是分享两张最近看到的觉得描述APT非常契合的图。
如果我们把APT分成6个攻击阶段的话,一种经典的划分方式如下
或者也可以画成金字塔
这里我们假设攻击目标位于金字塔的顶端,侧面表示攻击进化的环境(如物理平面、用户平面、网络平面、应用平面等)。金字塔平面依赖于每个组织的细节,并根据记录事件的环境定义。
0x00 背景
CobaltStrike(简称CS)作为一款渗透测试神器,采用C/S架构,可进行分布式团队协作。CS集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Windows exe与dll 木马生、Java 木马生成、Office 宏病毒生成、木马捆绑等强大功能,深受广大红队同学的喜爱。为了规避侦测,红队往往会对CS采用一些隐匿手段,常见方式有云函数和CDN等。这些隐匿手段隐匿了CS的真实IP,诸如DDoS之类的流量无法穿透CDN到达CS,常规的攻击方式难以对CS服务器形成有效干扰和打击。
实验背景
当我们在安装了Windows Defender的计算机上运行开箱即用的meterpreter payload时,马上就会被拦截。
本文将为读者展示如何通过TCP套接字投递shellcode来绕过最新的Windows Defender(撰写本文时是5月7日)执行现成的meterpreter payload的。
文章没有太多的技术含量,纯属胡言乱语加装逼,有些已经不适用现在的环境,所有的方法均经过实际环境的验证并有效实施,并不适用于所有的环境,纸上谈兵,各位当故事看看即可,仁者见仁,智者见智。